ビジネスサポートポータルアカウントでログイン
 

アラート/アドバイザリ:Trend Micro Apex One で確認された複数の脆弱性について (2022年5月)

    • 更新日:
    • 20 Dec 2022
    • 製品/バージョン:
    • Apex One 2019
    • Apex One as a Service
    • OS:
    • Windows
概要
Trend Micro Apex One (以下、Apex One) 及び Trend Micro Apex One SaaS (以下、Apex One SaaS) において、権限昇格につながる複数の脆弱性 (CVE-2022-30700、CVE-2022-30701) が確認されました。
詳細
Public

脆弱性の影響を受ける製品/コンポーネント/ツール

該当する脆弱性製品/コンポーネント/ツールバージョン
CVSS3.0
スコア
深刻度
CVE-2022-30700
Apex One20197.8 高
Apex One SaaS
CVE-2022-30701
Apex One20197.8 高
Apex One SaaS
 

脆弱性の概要

CVE-2022-30700 : 不適切な権限の付与による権限昇格の脆弱性
CVSSv3: 7.8: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Apex One及びApex One SaaSにおいて、不適切な権限の付与による権限昇格の脆弱性が確認されました。この脆弱性により、昇格された権限でDLLがロードされる可能性があります。この脆弱性を悪用するには、攻撃者は低レベルでのコードの実行権限を保持している必要があります。

CVE-2022-30701 : 制御されていない検索パスの要素による権限昇格の脆弱性
CVSSv3: 7.8: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Apex One及びApex One SaaSにおいて、制御されていない検索パスの要素による権限昇格の脆弱性が確認されました。特殊な設定ファイルを作成することで、昇格された権限でライブラリがロードされる可能性があります。この脆弱性を悪用するには、攻撃者は低レベルでのコードの実行権限を保持している必要があります。
 
 

対処方法

製品/コンポーネント/ツールバージョン修正Readme
Apex One2019Critical Patch 10101Readme
Apex One SaaS2022年3月メンテナンスReadme

 

軽減要素

この種の脆弱性を悪用するには、一般的に攻撃者が脆弱な端末にアクセスできることが必要です。信頼されたネットワークからのみアクセスを許可することで、本脆弱性が利用される可能性を軽減することができます。
トレンドマイクロは、お客様にできるだけ早く最新のビルドにアップデートすることをお勧めしています。

 

参照情報

ZDI-CAN-15738 (CVE-2022-30700)
ZDI-CAN-16098 (CVE-2022-30701)
 
Premium
Internal
Partner
評価:
カテゴリ:
Solution Id:
000291015
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!


*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド